Fecha de publicación: Mié, 05/02/2025 - 14:06

Aviso de seguridad

Nivel de peligrosidad: Crítico

Descripción

Veeam ha lanzado parches para corregir una vulnerabilidad crítica en su software de backup, la cual podría permitir a un atacante ejecutar código arbitrario en sistemas vulnerables.

Esta falla, identificada como CVE-2025-23114, posee una puntuación CVSS de 9.0 sobre 10.0, lo que resalta su gravedad. La vulnerabilidad reside en el componente Veeam Updater, donde un atacante con capacidades de Man-in-the-Middle (MitM) podría interceptar y manipular la comunicación para ejecutar código malicioso en el servidor afectado.

Recursos afectados

  • Veeam Backup para Salesforce: 3.1 y versiones anteriores
  • Veeam Backup for Nutanix AHV — 5.0 | 5.1 (las versiones 6 y posteriores no se ven afectadas por la falla)
  • Veeam Backup for AWS — 6a | 7 (la versión 8 no se ve afectada por la falla)
  • Veeam Backup para Microsoft Azure: 5a | 6 (la versión 7 no se ve afectada por la falla)
  • Veeam Backup for Google Cloud — 4 | 5 (la versión 6 no se ve afectada por la falla)
  • Veeam Backup para Oracle Linux Virtualization Manager y Red Hat Virtualization — 3 | 4.0 | 4.1 (las versiones 5 y posteriores no se ven afectadas por la falla).

Solución

  • Veeam para Salesforce: La vulnerabilidad se resolvió en la versión 7.9.0.1124 del componente Veeam Updater.
  • Veeam Backup for Nutanix AHV: La vulnerabilidad se resolvió en la versión 9.0.0.1125 del componente Veeam Updater.
  • Veeam Backup for AWS: La vulnerabilidad se resolvió en la versión 9.0.0.1126 del componente Veeam Updater.
  • Veeam Backup para Microsoft Azure: La vulnerabilidad se resolvió en la versión 9.0.0.1128 del componente Veeam Updater.
  • Veeam para Google Cloud: La vulnerabilidad se resolvió en la versión 9.0.0.1128 del componente Veeam Updater.
  • Veeam Backup para Oracle Linux Virtualization Manager y Red Hat Virtualization: La vulnerabilidad se resolvió en la versión 9.0.0.1127 del componente Veeam Updater.

Recomendaciones

  • Actualizar los productos afectados a una versión que mitigue la vulnerabilidad.
  • Realizar análisis de seguridad para detectar posibles compromisos en la red.

Referencias

VEEAM

THEHACKERNEWS